Visão Geral

Este artigo descreve um novo recurso do SFOS que altera os hiperlinks para várias páginas internas de endereço IP para nome de host. Combinado com o uso de seu próprio certificado, isso removerá os avisos de certificado vistos pelos usuários finais.

As seguintes seções são cobertas:

Como funciona o sistema
O que fazer
- Configure o nome do host e altere o certificado
- Configure para usar o nome do host em links
Resultado
Informação relacionada

Aplica-se aos seguintes produtos e versões
Sophos XG Firewall v17.1 e posterior

Como funciona o sistema

Em vários lugares, o XG Firewall precisa fornecer links que redirecionam os usuários para páginas hospedadas no dispositivo. Por padrão, esses links usam um dos endereços IP do XG Firewall. As páginas a seguir são aquelas às quais o firewall se vincula:

Captive Portal
User Portal
Registro de usuário convidado
Clicar em Proceed na página de Aviso
Análise de sandstorm em andamento
Autenticação AD SSO (XG 18.0 e posterior)
Páginas de bloqueio do modo DPI

Alguns desses links são HTTP e alguns são HTTPS. Os links HTTPS são assinados pelo certificado do dispositivo do XG Firewall.

O que fazer

Configure o nome do host e altere o certificado

Você pode alterar o nome do host em Administration > Admin Settings > Hostname. Você deve usar um Nome de domínio totalmente qualificado (FQDN), como myfirewall.mycompany.com.

Um administrador pode fazer upload de um certificado a ser usado pelo dispositivo XG Firewall. O certificado deve cobrir o nome do host do dispositivo XG Firewall. Pode ser um certificado adquirido de uma autoridade de certificação pública e que todos os clientes confiam automaticamente. Como alternativa, pode ser um certificado autoassinado de uma autoridade de certificação interna na qual os clientes foram configurados para confiar.

Para fazer upload de um certificado, vá para Certificates > Certificates.

Para selecionar o certificado a ser usado, vá para Administration > Admin Settings > Port Settings for Admin Console..

A partir da v17.5, ao redirecionar usuários para o Captive Portal ou outras páginas interativas, você pode escolher usar o nome de host configurado do Firewall, o endereço IP da primeira interface interna ou um nome de host diferente da GUI com mais flexibilidade, conforme mostrado abaixo. Além disso, o botão Check Settings permite que você verifique as configurações para possíveis erros e resoluções.

Configure para usar o nome do host em links

No SFOS v17.1, há uma configuração de back-end para que os links para as páginas mencionadas usem o nome do host em vez do endereço IP do dispositivo.

No canto superior direito do WebAdmin, clique no menu suspenso e selecione Console.
Digite a senha e selecione 4. Device Console.
Digite o seguinte comando para mostrar o status atual do http_proxy.
show http_proxy
Defina o valor do proxy_url_use_hostname como on.
set http_proxy proxy_url_use_hostname on

Resolução DNS

Os clientes do usuário final precisarão ser capazes de resolver o nome do host para um endereço IP no XG. O IP não pode ser a interface WAN. Idealmente, é o mesmo IP que é usado quando proxy_url_use_hostname está desativado, no entanto, pode ser qualquer IP existente no arquivo /cfs/proxy/skein/localinterfaces. Além disso, certifique-se de que o IP / Interface / Zona que você resolve tem o Captive Portal ativado no Device Access.

Se você estiver usando o XG Firewall como seu servidor DNS, ele pode ser configurado em Network > DNS > DNS Host Entry. Se você estiver usando um servidor DNS diferente, adicione a resolução nesse servidor DNS.

Resultado

Em todas as páginas do usuário final, todos os hiperlinks para páginas hospedadas no XG Firewall usarão o nome do host. O cliente resolverá o nome do host para o IP que você deseja usar. Para HTTPS, as páginas usarão um certificado que cobre esse nome de host e não haverá avisos de certificado no cliente.

O resumo da quarentena de email usa uma configuração separada, configurada em Email > Quarantine Digest > Reference User Portal IP. Atualmente não suporta hostname.